Va a por tu lado más emocional: esta nueva estafa en WhatsApp roba cuentas con una técnica muy efectiva

Va a por tu lado más emocional: esta nueva estafa en WhatsApp roba cuentas con una técnica muy efectiva
Llega Android 16 al Galaxy A25 junto con el nuevo One UI 8

La seguridad de tu cuenta de WhatsApp no depende únicamente de lo que la protejan sus desarrolladores, sino también de la capacidad de los usuarios para identificar intentos de manipulación psicológica que los puedan llevar a tomar acciones terribles.

En verdad, un ciberdelincuente no necesita sí o sí un malware complejo para tomar el control de tus datos. A menudo, su herramienta más eficaz es un mensaje cuidadosamente diseñado para sacar provecho de tu confianza y empatía.

Una estafa en cuatro pasos

Esto es precisamente lo que se ha visto en una nueva y peligrosa estafa en WhatsApp que roba cuentas utilizando una táctica de ingeniería social simple pero efectiva.

Esta campaña delictiva ha sido analizada en detalle por Bitdefender, y tiene un proceso muy estructurado para manipular a la víctima y guiarla hacia el error sin que se percate del peligro.

En primer lugar, la estafa comienza con un gancho emocional casi irresistible. La víctima recibe un mensaje de WhatsApp de un contacto conocido y de confianza, como un amigo, un familiar o un compañero de trabajo.

El texto apela a la colaboración desinteresada con una petición del tipo: "¡Hola! Por favor, vota por Ana en este concurso, es la hija de una amiga cercana. El premio principal es una beca para estudiar en el extranjero. ¡Muchas gracias!". Al provenir de alguien del círculo cercano, la víctima ni siquiera sospecha que sea una estafa.

A continuación, si la víctima accede, el enlace la redirige a una web de phishing, es decir, una que suplanta la identidad de sitios verdaderos para robar información.

En este caso, las páginas son sorprendentemente convincentes, con nombres de dominio relacionados con concursos de talento, como thebestdance.top. Al parecer verídicos, continúan creando confianza para no generar sospechas.

En ellas se pueden ver fotografías de niñas en poses de baile o gimnasia, contadores de votos que se actualizan, estadísticas y promesas de premios atractivos, como becas o dinero en efectivo, todo ello falso, por supuesto.

Después, llega el momento de la trampa. Para emitir el "voto", la página pide a la víctima que introduzca su número de teléfono y un código de verificación de seis dígitos que recibirá por SMS. Ese código de seis dígitos es el código de un solo uso que WhatsApp envía para registrar una cuenta en un nuevo dispositivo.

Lo que ocurre es que el ciberdelincuente, en paralelo y usando el número de teléfono que la víctima acaba de escribir en la web falsa, ha comenzado a registrar esa cuenta de WhatsApp en su propio dispositivo.

Al hacer esto, el sistema de WhatsApp, para confirmar que el dueño del número autoriza el cambio, envía el código al teléfono del propietario. La víctima, creyendo que está confirmando su voto, está dando voluntariamente esta clave maestra al atacante a través de la web de phishing.

Con este código en su poder, el atacante completa el registro en su dispositivo y toma el control total de la cuenta. A partir de ese instante, el propietario original pierde el acceso.

Es entonces cuando el delincuente procede a replicar la estafa enviando el mismo mensaje a toda la lista de contactos de la víctima, los cuales recibirán el mensaje con confianza, y vuelta a empezar.

Otra variante de esta estafa es una mediante la cual los atacantes envían mensajes a los contactos pidiendo transferencias de dinero urgentes bajo pretextos falsos, como una emergencia médica o un problema grave.

La investigación de Bitdefender revela que se han identificado hasta 177 dominios fraudulentos y 554 URLs únicas vinculadas exclusivamente a esta campaña en los últimos meses, lo que indica una infraestructura delictiva bien organizada y que se está expandiendo rápidamente.

Está afectando más en países de Europa Central y del Este, como Polonia, Rumanía o Alemania, aunque ya ha llegado a España, Reino Unido, e incluso a Estados Unidos.

Cómo protegerse de esta estafa

Para evitar caer en esta y otras estafas similares, es muy importante que actives la verificación en dos pasos en la configuración de WhatsApp. Esta función añade una capa de seguridad extra. Además del código de seis dígitos recibido por SMS, WhatsApp pedirá un PIN de seis dígitos que solo el usuario conoce cada vez que se intente registrar la cuenta en un nuevo dispositivo.

Sin embargo, además de esto, es importante ser consciente de los datos que se deben y no se deben dar nunca a nadie, por muy familiar que nos resulte, ya que si esto no se hace, los estafadores inventarán cualquier excusa para pedir dos códigos en lugar de uno y tener éxito igualmente.

Cómo saber si un Bizum de un contacto desconocido es una estafa

El Grupo Informático es un medio de comunicación digital especializado en tecnología, con análisis y noticias sobre móviles, informática y el mundo digital desde 2006. Conoce más sobre el equipo de El Grupo Informático y nuestra política editorial. Puedes seguirnos en Facebook, X, Instagram, WhatsApp, Telegram o recibirnos en tu correo para no perderte las últimas noticias de tecnología.
  • Ver Comentarios
Sobre el autor
Francisco Vicente
@fran_an_97 | LinkedIn

Amante a partes iguales de la escritura y la tecnología, la cual nunca para de avanzar y sorprendernos a un ritmo vertiginoso. ¡En 30 años hemos avanzado más que en un siglo entero! Cursé un Grado Superior en Desarrollo de Aplicaciones Multiplataforma (DAM). A nivel profesional, he trabajado como copywriter, revisor de calidad y especialista SEO. Poseo un amplio conocimiento informático, destacando en áreas como plataformas de streaming, aplicaciones y Android.